DNS의 작동 원리: 인터넷의 주소록이 어떻게 작동하는가

당신이 웹 브라우저에 'wikipedia.org'를 입력하면 무슨 일이 일어날까요? 컴퓨터는 실제로는 숫자 주소(IP 주소라고 불리는)가 필요합니다. 하지만 우리가 매일 기억하는 것은 'google.com'이나 'github.com' 같은 이름입니다. 이 이름들을 숫자 주소로 변환하는 것은 DNS(Domain Name System)의 역할입니다. DNS가 없다면, 인터넷은 훨씬 더 어렵고, 훨씬 더 투명하게 감시 가능한 곳이 될 것입니다.

DNS를 인터넷의 전화번호부로 생각해보세요. 예전에는 사람들이 친구의 전화번호를 찾기 위해 두꺼운 종이책을 펼쳤습니다. DNS는 이와 유사한 일을 합니다. 인간이 읽을 수 있는 도메인 이름(예: 'save-clip.com')을 컴퓨터가 이해할 수 있는 IP 주소로(예: '192.0.2.1' 같은 형태로) 변환합니다. 이 변환이 일어나는 방식은 단순해 보이지만, 실제로는 여러 단계의 서버가 관여하며, 이 과정에서 당신의 개인 정보가 노출될 수 있습니다.

DNS 쿼리의 여행: 누가 당신의 질문에 답하는가

당신이 웹 브라우저에 주소를 입력할 때, 당신의 컴퓨터는 즉시 DNS 서버에 "'example.com'의 IP 주소가 뭔가요?"라고 물어봅니다. 하지만 이 과정은 단순한 일대일 질문이 아닙니다. 대신 여러 서버가 이 질문에 답하기 위해 함께 작동합니다.

이 과정을 단계별로 살펴봅시다. 먼저, 당신의 컴퓨터는 "스텁 리졸버(stub resolver)"라고 불리는 작은 클라이언트 프로그램을 실행합니다. 이것은 당신의 기기에 내장되어 있으며, 실제 DNS 쿼리를 만드는 책임을 집니다. 스텁 리졸버는 보통 당신의 인터넷 서비스 제공자(ISP)의 DNS 서버 또는 공개 DNS 서버(예를 들어, 구글이 제공하는 서버)로 쿼리를 보냅니다.

두 번째 단계에서 이 DNS 서버는 "리커서(recursor)"라고 불립니다. 리커서는 당신을 대신해 다른 DNS 서버들에 물어봅니다. 리커서는 정확한 답을 알지 못하므로, 그것을 찾기 위해 계층적인 구조를 따라 올라갑니다. 먼저 리커서는 "루트 네임서버"라고 불리는 것에 연락합니다. 루트 네임서버는 인터넷의 '부사장실' 같은 것입니다. 당신이 찾는 구체적인 주소를 알지는 못하지만, 어디로 가야 하는지 알려줄 수 있습니다.

루트 네임서버는 리커서에게 다음 단계를 알려줍니다: "아, '.com' 도메인이군요. TLD(최상위 도메인) 네임서버에 물어봐요." TLD는 '.com', '.org', '.de' 같은 도메인의 끝부분입니다. TLD 네임서버는 또 다른 리다이렉션을 제공합니다: "'example.com'에 대해서는 그 도메인의 "권위 있는 네임서버(authoritative nameserver)"에 물어봐야 해요."

마지막으로, 리커서는 권위 있는 네임서버에 도달합니다. 이것은 example.com의 실제 소유자가 운영하는 서버입니다. 이 서버가 최종적으로 말합니다: "example.com의 IP 주소는 93.184.216.34입니다." 리커서는 이 답을 다시 당신의 컴퓨터로 보내고, 당신의 브라우저는 이제 실제 웹사이트에 접속할 수 있습니다.

DNS는 암호화되지 않았으며, 이것은 문제입니다

이 전체 과정에서 한 가지 중요한 사실이 있습니다: 기본 DNS 통신은 암호화되지 않습니다. 이것은 당신이 봉인되지 않은 엽서를 우편으로 보내는 것과 같습니다. 우체부뿐 아니라 그 엽서를 다루는 모든 사람이 당신이 어떤 웹사이트를 방문하려고 하는지 볼 수 있습니다.

실제로, 당신의 ISP는 당신이 방문하는 거의 모든 도메인을 볼 수 있습니다. 당신이 search.example.com을 검색하면, DNS 쿼리는 암호화되지 않은 채로 ISP의 DNS 리커서를 통과합니다. 따라서 ISP의 직원(또는 ISP의 네트워크에 접근할 수 있는 누구든지)은 당신이 어떤 웹사이트에 접속하는지 기록할 수 있습니다. 이것은 인터넷 이용 습관에 대한 광범위한 감시를 가능하게 합니다.

DoH와 DoT: 봉인된 봉투

이 문제를 해결하기 위해 DoH(DNS over HTTPS)와 DoT(DNS over TLS)이라는 두 가지 방식이 개발되었습니다. 이들은 기본적으로 당신의 DNS 쿼리를 암호화합니다. 봉인되지 않은 엽서 대신, 이제 당신은 암호화된 봉투로 쿼리를 보냅니다. ISP는 당신이 DNS 쿼리를 보내고 있다는 것은 알 수 있지만, 구체적으로 어떤 도메인을 찾고 있는지는 볼 수 없습니다.

하지만 여기에도 트레이드오프가 있습니다. DoH를 사용할 때, 당신은 보통 제삼자 DNS 제공자(예를 들어, Cloudflare나 구글)를 신뢰해야 합니다. 이제 ISP 대신 그 제공자가 당신의 DNS 기록을 볼 수 있습니다. DoH와 DoT는 당신의 인터넷 접근을 더 사적이게 만들지만, 이것은 단순히 감시자를 바꾸는 것일 수 있습니다.

DNS 필터링: 저렴하고 효과적인 검열 도구

DNS 필터링은 검열의 가장 일반적인 형태입니다. 정부나 네트워크 관리자는 권위 있는 네임서버를 차단하거나 거짓된 IP 주소를 반환하도록 DNS 리커서를 설정할 수 있습니다. 예를 들어, 특정 뉴스 웹사이트에 접속하려고 하면, DNS 리커서가 "그 도메인은 존재하지 않습니다" 또는 "존재하지 않는 IP 주소"로 응답할 수 있습니다.

DNS 필터링이 검열에 효과적인 이유는 저렴하고 구현하기 간단하기 때문입니다. 웹사이트의 실제 IP 주소를 차단할 필요가 없습니다. 단순히 DNS 쿼리에 대해 거짓 응답을 하면 됩니다. 이것은 많은 국가와 네트워크에서 콘텐츠 제한의 첫 번째 방어선이 되었습니다.

DNS 필터링을 우회하는 것은 가능합니다. 당신이 다른 DNS 리커서를 사용하면(예를 들어, Cloudflare의 DoH 서비스를 통해), 당신의 로컬 네트워크의 필터링된 DNS 리커서를 완전히 우회할 수 있습니다. 그러나 이것은 당신의 ISP나 네트워크 관리자가 보는 트래픽 패턴에서 눈에 띄는 변화를 만들 수 있으며, 더 침입적인 모니터링을 초래할 수 있습니다.

요약

DNS는 인터넷이 작동하기 위한 필수적인 시스템입니다. 하지만 기본 DNS는 암호화되지 않으므로, 당신의 인터넷 이용 습관은 ISP와 네트워크 관리자에게 투명합니다. DoH와 DoT는 이 문제를 부분적으로 해결하지만, 트레이드오프가 있습니다. 동시에, DNS 필터링은 검열의 가장 효과적이고 저렴한 형태가 되었습니다. 인터넷이 실제로 어떻게 작동하는지 이해하려면, DNS의 역할과 한계를 이해하는 것이 중요합니다. 다음으로, 당신은 IP 주소가 실제로 무엇인지, 그리고 DNS가 검열과 개인정보 보호와 어떻게 관련되는지 더 깊이 탐구할 수 있습니다.